ESET Research : Des applications WhatsApp et Telegram infectées par des chevaux de Troie, voleurs de cryptomonnaies

Date:

  • ESET Research a découvert pour la première fois des malwares dits « clippers » intégrés à des applications de messagerie instantanée.
  • Leurs auteurs s’attaquent aux cryptomonnaie des victimes à l’aide des applications Telegram et WhatsApp Android et Windows infectées par des chevaux de Troie.
  • Le malware est capable de remplacer les adresses des portefeuilles de cryptomonnaies que les victimes envoient dans les messages de chat par des adresses appartenant à l’attaquant.
  • Certains des clippers utilisent même la reconnaissance de caractères pour extraire du texte de captures d’écran et voler les phrases de récupération des portefeuilles de cryptomonnaies.
  • Outre les clippers, ESET a également découvert des chevaux de Troie d’accès à distance intégrés à des versions malveillantes de WhatsApp et Telegram sur Windows.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert des dizaines de faux sites web Telegram et WhatsApp, ciblant principalement des utilisateurs d’Android et de Windows via des versions de ces applications de messagerie instantanée infectées par des chevaux de Troie. La plupart des applications malveillantes que nous avons identifiées sont appelées des « clippers », un type de malware qui vole ou modifie le contenu du presse-papiers. Toutes s’intéressent aux fonds en cryptomonnaies des victimes, et plusieurs d’entre elles visent des portefeuilles de cryptomonnaies. C’était la première fois qu’ESET Research rencontrait des clippers sur Android se concentrer spécifiquement sur la messagerie instantanée. Certains de ces malwares utilisent même la reconnaissance optique de caractères (OCR) pour reconnaître du texte dans les captures d’écran stockées sur les appareils compromis, ce qui est une autre première pour les malwares Android.

Au vu de la langue utilisée dans les applications détournées, il semble que les opérateurs ciblent principalement des utilisateurs sinophones. Telegram et WhatsApp sont bloqués en Chine depuis plusieurs années ; depuis 2015 pour Telegram et depuis 2017 pour WhatsApp. Les personnes qui souhaitent utiliser ces services doivent recourir à des moyens indirects pour les obtenir.

Les auteurs de la menace ont d’abord mis en place des publicités Google menant à des chaînes YouTube frauduleuses, qui redirigeaient ensuite les internautes vers des sites web imitant ceux de Telegram et de WhatsApp. ESET Research a immédiatement signalé les publicités frauduleuses et les chaînes YouTube correspondantes à Google, qui les a rapidement fermées.

« L’objectif principal des clippers que nous avons découverts est d’intercepter les communications de messagerie de la victime et de remplacer toutes les adresses de portefeuilles de cryptomonnaies envoyées et reçues par des adresses appartenant aux attaquants. En plus des versions Android des applications WhatsApp et Telegram, nous avons également trouvé des versions Windows, » explique Lukáš Štefanko, le chercheur d’ESET qui a découvert les applications malveillantes.

Bien qu’elles servent le même objectif, les versions malveillantes de ces applications contiennent différentes fonctionnalités supplémentaires. Les clippers analysés sur Android constituent le premier exemple de malware Android utilisant l’OCR pour lire du texte dans des captures d’écran et des photos stockées sur l’appareil de la victime. L’OCR est déployée afin de trouver et voler la phrase secrète. Ce code mnémonique composé d’une série de mots est utilisé pour récupérer les portefeuilles de cryptomonnaies. Une fois que les cybercriminels se sont emparés d’une phrase secrète, ils sont en mesure de voler directement toutes les cryptomonnaies dans le portefeuille associé.

Dans un autre cas, le logiciel malveillant remplace simplement dans les communications par messagerie l’adresse du portefeuille de cryptomonnaies de la victime par celle de l’attaquant. Les adresses sont soit codées en dur, soit récupérées dynamiquement à partir du serveur de l’attaquant. Dans un autre cas encore, le malware surveille les communications Telegram pour y rechercher certains mots-clés liés aux cryptomonnaies. Lorsqu’un tel mot-clé est reconnu, le malware envoie le message complet au serveur de l’attaquant.

ESET Research a également trouvé des versions Windows des clippers de substitution de portefeuille, ainsi que des programmes d’installation de Telegram et de WhatsApp pour Windows intégrant des chevaux de Troie d’accès à distance. Ces derniers s’écartent du modèle établi. Ils ne comportent pas de clipper, mais un outil d’accès à distance qui permet un contrôle total du système de la victime. De cette manière, les cybercriminels sont en mesure de voler les portefeuilles de cryptomonnaies sans intercepter le flux de l’application.

« N’installez des applications qu’uniquement à partir de sources fiables, telles que Google Play, et ne stockez pas sur votre appareil des images ou des captures d’écran non chiffrées contenant des informations sensibles. Si vous pensez avoir installé une version malveillante de Telegram ou de WhatsApp, supprimez-la manuellement de votre appareil, et téléchargez l’application soit à partir de Google Play soit directement à partir du site web légitime, » conseille M. Štefanko. « Pour Windows, si vous pensez que votre application Telegram est malveillante, utilisez une solution de sécurité pour détecter la menace et la supprimer. La seule version officielle de WhatsApp pour Windows est actuellement disponible dans la boutique Microsoft. »

Pour plus d’informations techniques sur les clippers intégrés aux applications de messagerie instantanée, consultez l’article « Not-so-private messaging: Trojanized WhatsApp and Telegram apps go after cryptocurrency wallets » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:32

Lancement du nouveau Huawei Nova Y61

Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.
00:01:21

Samsung innove dans le suivi santé et bien-être avec les Galaxy Watch5 et Galaxy Watch5 Pro

Les nouvelles Galaxy Watch5 Series proposent des fonctionnalités de suivi du sommeil pertinentes et un design personnalisé pour façonner les habitudes de santé et bien-être au quotidien.

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

Xbox présente ses initiatives pour soutenir les développeurs indépendants et promouvoir l’inclusion

Xbox a dévoilé, via son Xbox Wire, le blog du Microsoft Game et du Xbox Podcast, les annonces faites lors de la Game Developers Conference 2024.

ESET Research alerte face à l’augmentation des attaques AceCryptor qui ciblent l’Europe centrale

AceCryptor est un logiciel de chiffrement, malveillant, disponible sur demande et payant à l’usage. Celui-ci obscurcit d’autres logiciels malveillants pour limiter leur détection.

Kaspersky rapporte une augmentation des violences numériques à l’échelle internationale

Le dernier rapport Kaspersky State of Stalkerware 2023 révèle que près de 31 000 détenteurs de téléphones mobiles dans le monde ont été victimes de stalkerwares, ces logiciels de surveillance illicite employés par les agresseurs dans le cadre des violences domestiques pour surveiller leurs victimes.

Dr. TM Roh : Bienvenue dans l’ère de l’IA mobile

Le développement de la série Galaxy S24 a été la période la plus enrichissante de ma carrière. En tant qu’ingénieur, j’ai été témoin de nombreuses innovations incroyables, mais l’Intelligence Artificielle (IA) est sans aucun doute la technologie la plus transformatrice de ce siècle.

Samsung dévoile la liste des appareils compatibles avec Galaxy IA

Samsung annonce que Galaxy AI sera disponible sur un plus grand nombre d’appareils Galaxy grâce à la nouvelle mise à jour One UI 6.1. L’entreprise vise ainsi à accélérer l’accessibilité mondiale de l’intelligence artificielle mobile.

GITEX Africa Morocco fait son retour en 2024 avec une multitude de sujets technologiques

Les entreprises internationales opérant dans les nouvelles technologies et le développement du digital cherchent activement à renforcer leurs collaborations avec GITEX Africa Morocco en vue de garantir un avantage concurrentiel dans un paysage numérique africain, qui est de nos jours, en pleine expansion.

OPPO Find X7 Ultra est N°1 de la photo chez DXOMARK

OPPO Find X7 Ultra, le téléphone avec appareil photo ultime, a remporté dernièrement le prix Gold Camera de DXOMARK, se classant premier dans son classement des appareils photo pour smartphones.

ESET Research découvre une opération de cyberespionnage qui cible des Tibétains

ESET est fondamentalement une entreprise axée sur les canaux de distribution. De ce fait, nos partenaires commerciaux ont toujours fait partie intégrante de notre parcours.